当你在网上看到一个熟悉的微软登录窗口,域名是*.bubble.io,系统提示“正在验证安全性”,你输入了账号密码——然后,你的邮箱、日历、OneDrive里的所有文件,就都归了黑客。这不是科幻,而是卡巴斯基最新披露的真实攻击手法:黑客正在利用无代码AI建站平台Bubble,批量生成高度伪装的钓鱼页面,专偷微软账户凭证。
一、 事件回顾:合法平台成了“钓鱼外衣”
3月26日,卡巴斯基安全团队披露了一种新型网络攻击手段:黑客利用无代码AI建站平台Bubble,在短短几分钟内就能生成一个看起来完全正常的网页应用,然后伪装成微软登录门户,诱导用户输入账号密码。
Bubble是一个合法的商业平台,允许用户无需编写代码,仅通过可视化界面或自然语言描述就能快速构建网页应用。生成的应用统一托管在Bubble的基础设施下,域名为*.bubble.io。
为什么它能骗过安全防护?
- 域名信誉高:电子邮件安全系统通常不会将
.bubble.io这类知名平台域名标记为威胁,钓鱼邮件因此能轻松穿透拦截网,直达用户收件箱。 - 代码极度复杂:Bubble生成的页面包含大量JavaScript和孤立影子DOM结构,常规静态扫描工具根本无法识别其恶意目的,甚至会错误判定为正常网站。
- 刻意隐藏:这些假冒页面有时还会在Cloudflare的安全验证页面后“躲猫猫”,让用户误以为正在经过正规的安全检查。
二、 攻击手法拆解:从“建站”到“盗号”只需三步
- 搭建钓鱼页面:黑客在Bubble平台用自然语言描述一个“微软登录验证”需求,AI自动生成前后端代码,几分钟内就能获得一个完全克隆微软官方登录页面的应用。
- 发送钓鱼邮件:利用
.bubble.io的高信誉域名,将包含钓鱼链接的邮件群发出去。邮件系统不会拦截,用户看到熟悉的域名和界面,警惕性大幅降低。 - 窃取凭证:用户在假冒页面输入账号密码后,数据实时发送给黑客。此后,黑客可以自由访问受害者的Outlook邮箱、Teams聊天记录、OneDrive文件,甚至利用这些权限横向渗透企业内网。
更可怕的是,卡巴斯基警告这种手法极可能被“钓鱼即服务”(PhaaS)黑产平台大规模采纳。届时,即便是不懂技术的低阶黑客,也能一键生成这类高级钓鱼页面,而黑产平台还会集成会话Cookie盗取、绕过双重认证(2FA)等高级技术,防御难度将指数级上升。
三、 站长视角:这种攻击和我们有什么关系?
很多站长觉得:“这是针对普通用户的钓鱼,和我网站有什么关系?”其实关系很大:
- 你的用户可能正在被钓鱼:如果你运营的是社区、论坛、电商网站,用户可能会在别处泄露密码,然后用相同密码登录你的网站,导致撞库攻击。
- 你的员工可能中招:企业内部的微软账户被钓鱼,攻击者可能冒充员工身份,向你的服务器发起攻击。
- 你的品牌可能被利用:不法分子可能仿造你的网站登录页,用类似手法钓你的用户,损害你的品牌信誉。
因此,无论你是网站运营者还是企业IT管理员,都不能对这类攻击掉以轻心。
四、 如何防御?四道防线守好你的账户
第一道防线:用户教育
- 提醒用户不要轻信任何要求输入密码的弹窗,即使域名看起来“很正规”。
- 开启多因素认证(MFA),即便密码泄露,攻击者也难进入。
- 教会用户检查地址栏,确认网站域名是否为官方
microsoftonline.com或login.microsoft.com。
第二道防线:邮件安全
- 企业应部署高级邮件威胁防护,对来自高信誉域名的链接也进行深度检测,不盲目信任。
- 对含有“密码验证”“账号异常”等关键词的邮件进行额外标记。
第三道防线:身份与访问管理
- 对于微软365企业用户,建议启用条件访问策略,仅允许来自受信任IP或设备的登录。
- 对异常登录(如异地、新设备)进行二次验证或拒绝。
第四道防线:网站自身防护
- 如果你是网站运营者,建议为你的网站和后台系统部署Web应用防火墙(WAF)。虽然这次攻击目标不是你的网站,但一旦你的用户被钓鱼,攻击者就可能用窃取的凭证尝试登录你的后台。WAF可以有效拦截撞库、暴力破解等后续攻击。
- 推荐使用百度云防护WAF,其内置的BOT防护和IP情报库能识别自动化撞库工具,即使攻击者拿到密码,也难逃WAF的拦截。同时,百度云防护采用套餐计费,用完即停,不会因为被撞库而产生天价账单。
五、 主机吧总结:AI时代,信任正在被重新定义
这次Bubble平台被滥用事件再次证明:AI赋能工具的同时,也赋能了黑产。攻击者不再需要自己写代码,只需用自然语言描述需求,AI就能帮他们生成钓鱼网站。而高信誉域名、复杂代码结构又让传统安全防护工具“失明”。
作为站长,我们无法控制第三方平台的滥用,但可以做好自己的防线:加强员工安全意识、部署专业WAF、启用多因素认证。特别是对于拥有用户账户的网站,更要警惕撞库和后续渗透。
如果你还没为网站部署WAF,或者担心用户凭证泄露后带来的连锁风险,欢迎联系主机吧。我们提供免费安全评估和百度云防护配置指导,帮你守住用户信任的最后一道防线。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让钓鱼无处遁形,让账户安如磐石。
